שני דברי חקיקה עיקריים, האחד מבית היוצר של האיחוד האירופי והשני פרי עטו של המחוקק הישראלי עומדים להיכנס לתוקף במאי 2018. אסדרה זו טומנת בחובה שינויים מהותיים בכל הנוגע לחובות ואחריות הגורמים הקשורים למאגרי מידע ולגורמים האוספים ועושים שימוש במידע אישי. מי שיטרח ויתעדכן בשינויים אלה מבעוד מועד, יוכל להבטיח לעצמו פרק זמן להיערכות. מי שיפספס את הרכבת עלול למצוא עצמו במצוקה אמיתית, בלשון המעטה.
לאילו שינויים יש לצפות בשנת 2018 מבחינת הגנה על פרטיות ?
נפתח עם הזווית הישראלית דווקא. הרשות להגנת הפרטיות, לשעבר הרשות למשפט וטכנולוגיה, עברה החודש מתיחת פנים מהותית עם ההחלטה לשנות את שמה לשם המשקף ביתר נאמנות את עיקרי פעילותה. על פי החלטת ממשלה מספר 3019 מיום 07.09.2017 הרשות לא תיקרא יותר “הרשות למשפט, טכנולוגיה ומידע”, אלא תישא מעתה את שמה החדש -“הרשות להגנת הפרטיות”. אין מדובר בשינוי קוסמטי בלבד אלא בהצהרת כוונות וכינון גורם קריטי לשמירה על פרטיות תושבי המדינה.
בין יתר סמכויותיה, פועלת הרשות מזה זמן לא מבוטל כגוף אכיפה המבצע חקירות גלויות וסמויות נגד גופים הנחשדים בהפרת חקיקת הגנה על פרטיות, בין אם באופן פעיל ובין על דרך המחדל. נראה כי לאחרונה החליטה הרשות להעלות הילוך בפעולות האכיפה שלה ולהתמקד בפן הביצועי יותר של מניעת דליפות מידע אישי ממחשבים של גופים מסחריים והגנה על מאגרי מידע. בחודש ספטמבר, 2017, לבדו, פרסמה הרשות הודעות על כך שחקרה ומצאה ארבע הפרות שונות של חוק הגנת הפרטיות אשר בוצעו על ידי גופים מסחריים, ביניהם חברות, עסקים קטנים ואפילו משרד עורכי דין! בד בבד וכחלק ממהלך רוחבי זה של ביסוס מעמדה כאמונה על הגנת הפרטיות בישראל, הזכירה הרשות על כניסתן לתוקף של תקנות אבטחת מידע חדשות במאי 2018.
תקנות אבטחת המידע החדשות – מה הן כוללות והאם אתם ערוכים להן ?
תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז –2017 הן פרי יוזמתה של הרשות להגנת הפרטיות אשר בהיותה גוף אכיפה, אמונה גם על ביצוען. התקנות אושרו על ידי ועדת חוקה, חוק ומשפט של כנסת ישראל במרץ 2017 והן באות להחליף את התקנות הקודמות שנחקקו בשנת 1986 ואשר אינן מתאימות עוד לעידן הדיגיטלי.
ברשות להגנת הפרטיות מבטיחים כי כניסתן של התקנות לתוקף תהווה “קפיצת מדרגה כללית ברמת אבטחת המידע האישי בישראל”, לא פחות. בפועל, התקנות יוצרות מנגנון אשר תכליתו הפיכת סוגיית אבטחת המידע לחלק משגרת הניהול בארגונים המחזיקים ומנהלים מאגרי מידע אישי.
החידושים שמציעות התקנות לעניין זה הם בעיקרם החלת חובת דיווח על אירועי אבטחה חמורים בארגונים שחלה עליהם רמת אבטחה גבוהה או בינונית (תקנה 11) וכן מתן שיקול דעת לרשם מאגרי המידע להחרגת מאגרים או מגזרים מסוימים מתחולת התקנות, זאת על מנת להימנע מנטל בירוקרטי או פרוצדוראלי (תקנה 20). באותו אופן, רשם מאגרי המידע רשאי להטיל חובות נוספות לאלו המנויות בתקנות על מאגר מידע מסוים, לפי נסיבות העניין ובהתאם למאפייני המאגר.
מאחר והתקנות חלות באופן גורף על כל פעולה של עיבוד מידע אישי הכפופה לחוק ועל כל מגזרי המשק, לרבות גופים ציבוריים, עלה הצורך לעצב את התקנות באופן שיתאים את החובות ואת רמת האבטחה הנדרשת של כל מאגר לאופי הארגון, גודל המאגר, רגישות המידע שבו, מספר המורשים לגשת אל המידע, רמת הסיכון שבפעילות עיבוד המידע שבו וכו’. כך, התקנות ממיינות את המאגרים לארבעה סוגים וקובעות רמת אבטחה נדרשת לגבי כל אחד מהם וחובות ספציפיים לבעלי כל אחד מסוגי המאגרים. נפרט בקצרה את הקטגוריות והשייכות אליהן ונזהיר כי בכדי לדעת בוודאות לאיזו קטגוריה נכנס המאגר שלכם, עליכם לקרוא היטב את התקנות והתוספות מאחר ודי בנתון בודד בכדי להיכנס לקטגוריה מסויימת.
1. מאגר מידע המנוהל על ידי יחיד – קטגוריה זו מחילה את החובות הפחותות ביותר בנוגע לאבטחת מידע והיא חלה על מאגר המנוהל על ידי אדם אחד או חברה בבעלות יחיד. תחת קטגוריה זו נכנסים מאגרים שיש להם בין מורשה גישה אחד לשלושה. בקטגוריה זו נכללים עסקים קטנים המחזיקים בעיקר מאגרי לקוחות ואשר לא יהיה פרקטי להחיל עליהם רמת אבטחה מוגברת. בעל מאגר יחיד מחויב בפעולות מצומצמות יחסית הכוללות הכנת מסמך של הגדרות המאגר, ניהול הרשאות גישה במאגר, אבטחה פיזית של מקום העסק, תיעוד אירועי אבטחה, הפרדת מערכות, שימוש בתקשורת מאובטחת והגבלת שימוש בהתקנים ניידים, דוגמת דיסק און קי וכוננים ניידים. נציין כי ישנם מאגרים אשר מנוהלים על ידי יחיד אך מוגדרים כרגישים ולכן לא יוכלו להיכלל בקטגוריית ההגנה הנמוכה ביותר. אלו הם מאגרים המכילים יותר מ-10,000 רשומות, מאגרים שמטרתם מסירת מידע לצד שלישי, כגון דיוור ישיר, או מאגרים הכפופים לחובת סודיות מקצועית של בעליהם על פי דין או על פי כללי אתיקה מקצועית, כמו עורכי דין, רואי חשבון, פסיכולוגים וכיוצא באלה.
2. מאגרים שחלה עליהם רמת אבטחה בסיסית – קטגוריה אליה שייכים כל המאגרים שאינם מנוהלים על ידי יחיד ואינם נכללים בסיווג המופיע בתוספת לתקנות המפרט אילו מאגרים נכנסים לקטגוריות רמת אבטחה בינונית וגבוהה.
3. מאגרים שחלה עליהם רמת אבטחה בינונית –מאגרי מידע שתכליתם איסוף והעברת מידע לצד ג’, מאגרי שרותי דיוור, מאגרים המשתייכים לגוף ציבורי או כאלה המכילים מידע רגיש (רפואי, דתי או אחר) כמפורט בסעיף 1(3) לתוספת הראשונה לתקנות.
4. מאגרים שחלה עליהם רמת האבטחה הגבוהה – מאגרים ברמת אבטחה בינונית אשר מספר מורשי הגישה אליהם עולים על 100, או כאלה המכילים מידע אודות 100,000 אנשים ומעלה. בקטגוריה זו נכללים גם מאגרי מידע השייכים לגוף ציבורי.
בעלי מאגרים ברמת אבטחה בסיסית, בינונית או גבוהה מחויבים בפעולות דומות, הכוללות: הכנת מסמך הגדרות המאגר, הכולל התייחסות לאופן איסוף המידע, מטרות השימוש בו, סוגי המידע ומידתיות דרישת המידע; נוהל אבטחת מידע; מיפוי מערכות; ביצוע סקר סיכונים (רק למאגרים ברמת האבטחה הגבוהה); אבטחה פיזית של מקום הימצאות המאגר; חובות באשר לגיוס עובדים; ניהול הרשאות גישה, זיהוי ואימות ובקרה; תיעוד אירועי אבטחה; הגבלת שימוש בהתקנים ניידים; הפרדת מערכות; אבטחת תקשורת וחובות נוספות כמפורט בתקנות.
אם כך, מה תוכלו לעשות כבר עכשיו כדי להיות מכוסים לקראת כניסת התקנות לתוקף ?
כצעד ראשון, מומלץ לפעול באופן הבא:
1. עיינו בתקנות ובמדריכים שהוציאה הרשות להגנת המידע ונסו לשייך את עצמם לאחת מקטגוריות האבטחה, על פי המאפיינים שצוינו לעיל.
2. בצעו בדיקה בבית העסק שלכם על מנת למפות אילו מסמכים כבר נמצאים בידיכם ואילו פעולות כבר נקטתם כחלק מפעילותכם השוטפת. למשל, האם כבר קיימת אבטחה פיזית במקום? האם כבר נהוג אצלכם נוהל הפרדת מערכות? וכו’.
3. הכינו רשימה של המסמכים והפעולות שהתקנות מחייבות את קיומם אך לא קיימים אצלכם.
4. בצעו הערכה של הזמן והמשאבים אשר יידרשו לשם ביצוע כל אחת מן הפעולות שברשימה שלכם והכינו לעצמכם תכנית פעולה שתאפשר לכם להשלים את הרשימה עד סוף אפריל 2018 לכל המאוחר.
לא בטוחים היכן אתם ממוקמים על מנעד החובות או כיצד תוכלו ליישם את הוראת החוק? מומלץ להיעזר בעזרה מקצועית של משרד עורכי דין הבקיא ברזי החוק והתקנות, אשר יוכל לסייע לכם לפרש את ההוראות החדשות ולהבין את המשמעויות האופרטיביות שלו עבורכם, כמו גם יוכל להנחות אתכם כיצד לעמוד בדרישות החוק במהירות ובמינימום עלויות.
ומה לגבי החקיקה באיחוד האירופי ?
מהלכי החקיקה האחרונים בארץ בסוגיית הפרטיות משקפים מגמה עולמית של עדכון החקיקה קיימת והתאמתה לעידן הדיגיטלי. כפועל יוצא של צרכי השעה, התקבל באיחוד האירופי חוק הגנת המידע האירופי, או ה-GDPR אשר עתיד להיכנס לתוקף ב-25 במאי, 2018. מדובר אמנם באסדרה במדינות האיחוד האירופי, אך תחולתה אינה מוגבלת לאירופה בלבד והיא חלה על כל ישות משפטית השולטת על מידע אישי או מעבדת מידע אישי של אזרחי האיחוד וכן או על כל עסק המציע טובין או שירותים לאזרחי האיחוד, גם ללא תמורה.
כלומר, אם יש לכם עסק האוסף, מאחסן או מעביר מידע אישי של אזרחי האיחוד, החוק יחול גם עליכם ללא קשר למיקום הפיזי של העסק שלכם. החוק מגדיר “מידע אישי” באופן רחב יחסית כך שהגדרתו חלה על כל מידע היכול לשמש לצורך לזיהויו של אדם. דוגמאות למידע אישי כוללות בין היתר שם פרטי ושם משפחה, מספר זיהוי, מקום מגורים, מידע המתאר אדם מבחינה פיזית, פיזיולוגית, רפואית, כלכלית, תרבותית או חברתית. ה-GDPR הרחיב עד מאוד את הגדרת המונח “מידע אישי” אשר הייתה קיימת עד כה. למעשה, ההגדרה הרחבה בה נוקט החוק יוצרת מצב בו כמעט כל מידע הנאסף על אדם נכלל בהגדרת המונח “מידע אישי”.
ה-GDPR הינו חוק מורכב יחסית, הן מבחינת אופן ניסוחו המחיל הגנות רחבות היקף, כמעט על כל סוגי המידע, והן בשל המשמעויות המעשיות עבור אלו אשר עליהם הוא חל. החוק מחייב בתי עסק לבצע שינויים הן בהתנהלות הארגונית שלהם והן באמצעים הטכנולוגיים המשמשים אותם לאיסוף ועיבוד מידע. בנוסף, החוק מאפשר הטלת קנסות מנהליים של מיליוני אירו על עסקים אשר לא יעמדו בתנאיו, כך שלבעלי עסקים יש מה להפסיד במידה ולא יישמו אותו נכונה.
לאור כל אלה, החליט המחוקק האירופאי לפרסם מבעוד מועד את עיקרי החוק ולאפשר לעסקים להיערך לשינוי. החוק נדיב מאוד באשר לזכויות הניתנות לאזרחי האיחוד ומקים שמונה זכויות מהותיות לגבי מידע אישי והשימוש בו. בין היתר, מחייב החוק את בעלי ומנהלי מאגרי מידע לתת לאזרחי האיחוד גישה למידע האישי שלהם בתוך המאגר, למחוק או לתקן מידע על פי בקשה, להימנע מהעברת מידע לצדדים שלישיים וכדומה.
כמו כן, החוק מאפשר לאזרחי האיחוד לסרב להצעות לשיווק ישיר ולשימוש במידע למטרות מסחריות וכן קובע זכויות מוגברות בכל הנוגע לקטינים. חידוש נוסף שנקבע בחוק בעקבות השימוש ההולך וגובר באלגוריתמים ובמערכות אוטומטיות הוא הזכות הניתנת לאזרחי האיחוד להתנגד להחלטות שהתקבלו בעניינים דרך שימוש באלגוריתמים או במערכות אוטומטיות אחרות וחיוב בעלי מאגרים לחשוף את הלוגיקה העומדת מאחורי תהליך קבלת ההחלטות של אותה מערכת. על מנת לוודא הגינות ושקיפות בהחלטות אוטומטיות, מחייב החוק בעלי עסקים העושים שימוש במערכות כאלה להטמיע אמצעים לאבטחת המידע, כמו גם לעשות שימוש במנגנונים מתמטיים או סטטיסטיים שיבטיחו מינימום סיכונים לטעויות בתהליך.
אם לא די בכך, החוק מחייב בתי עסק לדווח על אירועי אבטחה לגורמים המתאימים במדינות האיחוד ואף למנות בעל תפקיד הקרוי “קצין הגנת מידע” ואשר תפקידו להבטיח שהעסק שלכם עונה על דרישות החוק ומיישם אותן במלואן.
איך נערכים לכניסת ה -GDPR לתוקף ?
במקרה של ה-GDPR, מדובר במנגנון מורכב יותר מבחינת הבנת החובות החלות על בתי עסק וכן מבחינת יישום. הרגולטור באיחוד מתייחס לזכויות במובן הרחב שלהן ועושה שימוש במונחים מופשטים. אמנם האיחוד ניסה להקל במעט על צרכני החוק ופרסם מדריכים המנסים לעשות סדר בדברים, אך עדיין נראה כי רב הנסתר על הגלוי באשר לדרישות החוק והשלכותיו על בעלי עסקים המחזיקים במאגרי מידע.
לאור זאת, כל גורם בישראל אשר בא במגע עם מידע הנוגע לתושבי האיחוד האירופי חייב לבחון האם החוק החדש חל גם עליו ובמידה והתשובה חיובית עליו להיערך בהתאם ויפה שעה אחת קודם. היערכות מושכלת לפני כניסת החוק לתקפו מחייבת הסתייעות בעורכי דין ובעלי מקצוע נוספים הבקיאים בתחום ומכיר את דברי החקיקה הרלוונטיים והשלכותיהם. אנשי המקצוע המתאימים יוכלו ללוות אתכם בתהליך ולסייע לכם להטמיע שינויים ארגוניים ונהלי אבטחת מידע המותאמים לדרישות הספציפיות של החוק, כך שתהיו מכוסים ולא תופתעו.